Мицрософт је недавно детаљније објаснио како се одвијао цибер-напад СоларВиндс, детаљно описујући другу фазу напада и типове малвера који се користе.

За напад са толико високих мета као што је СоларВиндс, још увек постоји много питања на која треба одговорити. Извештај Мицрософта открива гомилу нових информација о нападу, покривајући период након што су нападачи избацили Сунбурст иза врата.

Мицрософт детаљи друге фазе Цибер-напада СоларВиндс

Тхе Мицрософт Сецурити блог пружа увид у „Карику која недостаје“, период од када је Сунбурст бацкдоор (назван Солоригате би Мицрософт) је инсталиран на СоларВиндс-у за уградњу различитих типова злонамерног софтвера у жртвин систем мрежама.

Као што већ знамо, СоларВиндс је један од „најсофистициранијих и најдужих напада упада у деценији“, и да је нападачи “су вешти оператери кампање који су пажљиво планирали и извршили напад, остајући неухватљиви док су одржавали упорност."

Блог Мицрософт Сецурити потврђује да је оригинални Сунбурст бацкдоор састављен у фебруару 2020. и дистрибуиран у марту. Потом су нападачи уклонили Сунбурст бацкдоор из окружења зграде СоларВиндс у јуну 2020. Комплетну хронологију можете пратити на следећој слици.

Мицрософт верује да су нападачи потрошили време на припрему и дистрибуцију прилагођених и јединствених имплантата Цобалт Стрике и командну и управљачку инфраструктуру, а „стварне руке на тастатури почеле су највероватније већ у мају“.

Уклањање функције бацкдоор-а са СоларВиндса значи да су се нападачи пребацили са захтева за бацкдоор приступом преко продавца на директан приступ жртвиним мрежама. Уклањање заклона из окружења за изградњу било је корак ка прикривању било какве злонамерне активности.

Повезан: Мицрософт открио стварни циљ Цибер-напада СоларВиндс

Мицрософт открио стварни циљ Цибер-напада СоларВиндс

Улазак у жртвину мрежу није био једини циљ напада.

Одатле је нападач учинио све да избегне откривање и удаљи сваки део напада. Један од разлога који су стајали иза тога био је да чак и ако је имплантат злонамерног софтвера Цобалт Стрике откривен и уклоњен, Бацкдоор СоларВиндс је и даље био доступан.

Процес откривања укључује:

  • Примена јединствених имплантата Цобалт Стрике на свакој машини
  • Увек онемогућите сигурносне услуге на машинама пре него што наставите са бочним кретањем мреже
  • Брисање дневника и временских жигова да би се избрисали отисци стопала, па чак и онемогућавање евидентирања на одређено време да би се задатак довршио пре поновног укључивања.
  • Усклађивање свих имена датотека и имена фасцикли како би се помогло при камуфлирању злонамерних пакета на систему жртве
  • Коришћење посебних правила заштитног зида за прикривање одлазних пакета за злонамерне процесе, а затим уклањање правила када завршите

Блог Мицрософт Сецурити истражује спектар техника много детаљније, са занимљивим одељком који истражује неке од заиста нових метода за откривање против откривања које су нападачи користили.

СоларВиндс је један од најсофистициранијих хакова икада виђених

Нема мало сумње у умове Мицрософтових тимова за одговор и безбедност да је СоларВиндс један од најнапреднијих напада икада.

Комбинација сложеног нападачког ланца и дуготрајне операције значи да одбрамбена решења морају имати свеобухватна видљивост међу доменима у активностима нападача и пружају месеце историјских података са моћним алатима за лов који се истражују још уназад по потреби.

Још увек може доћи још жртава. Недавно смо известили да су и стручњаци за антималвер Малваребитес били циљани у сајбер нападу, мада су нападачи користили другачији начин уласка да би добили приступ његовој мрежи.

Повезан: Малваребитес најновија жртва Цибераттацк-а СоларВиндс

С обзиром на опсег између почетне спознаје да се догодио тако огроман сајбер напад и низа циљева и жртава, могло би постојати још већих технолошких компанија које би искорачиле.

Мицрософт је издао серију закрпа чији је циљ смањење ризика од СоларВиндса и с њим повезаних типова малвера Јануар 2021. закрпа уторак. Закрпе, које су већ покренуте, ублажавају рањивост која траје нула дана за коју Мицрософт верује да се повезује са кибернетаком СоларВиндс и која је била у активној експлоатацији у дивљини.

Емаил
Шта је хаковање ланца снабдевања и како можете бити сигурни?

Не можете да пробијете улазна врата? Уместо тога нападните мрежу ланца снабдевања. Ево како ови хакови функционишу.

Повезане теме
  • Сигурност
  • Тецх Невс
  • Мицрософт
  • Злонамерних програма
  • Задња врата
О аутору
Гавин Пхиллипс (Објављено 709 чланака)

Гавин је млађи уредник за Виндовс и објашњене технологије, редовни сарадник Стварно корисног подцаста, и био је уредник за сестринску веб локацију МакеУсеОф, фокусирану на крипто, Блоцкс Децодед. Има БА (одликовање) савремено писање са дигиталним уметничким праксама које су отете са брда Девона, као и више од деценије професионалног писменог искуства. Ужива у обилним количинама чаја, друштвеним играма и фудбалу.

Више од Гавина Пхиллипса

Претплатите се на наш билтен

Придружите се нашем билтену за техничке савете, прегледе, бесплатне е-књиге и ексклузивне понуде!

Још један корак…!

Молимо потврдите своју адресу е-поште у е-поруци коју смо вам управо послали.

.