„Microsoft“ neseniai išsamiau paaiškino, kaip vyko „SolarWinds“ kibernetinis užpuolimas, išsamiai aprašydamas antrąjį atakos etapą ir naudojamus kenkėjiškų programų tipus.

Atakai su tiek aukšto lygio taikinių, kiek „SolarWinds“, vis dar kyla daug klausimų, į kuriuos reikia atsakyti. „Microsoft“ ataskaita atskleidžia daugybę naujos informacijos apie ataką, apimančią laikotarpį po to, kai užpuolikai nuleido „Sunburst“ užpakalinę duris.

„Microsoft“ išsami informacija apie antrąjį „SolarWinds“ kibernetinio užpuolimo etapą

The „Microsoft Security“ tinklaraštyje apžvelgiama „Trūkstama grandis“, laikotarpis nuo tada, kai „Sunburst“ užpakalinė duris (vadinamą „Sunburst“) „Solorigate by Microsoft“) buvo įdiegta „SolarWinds“, kad aukoje būtų galima implantuoti įvairaus tipo kenkėjiškas programas tinklus.

Kaip mes jau žinome, „SolarWinds“ yra viena iš „sudėtingiausių ir užsitęsusių įsilaužimų išpuolių per dešimtmetį“ ir kad užpuolikai “yra kvalifikuoti kampanijos organizatoriai, kruopščiai suplanavę ir įvykdę ataką, išlaikydami sunkiai pasiekiamą atkaklumas “.

instagram viewer

„Microsoft Security“ tinklaraštis patvirtina, kad originalus „Sunburst“ užpakalinis duris sudarė 2020 m. Vasario mėn. Ir išplatino kovo mėnesį. Tada užpuolikai 2020 m. Birželio mėn. Pašalino „Sunburst“ užpakalinę duris iš „SolarWinds“ pastato aplinkos. Šiame vaizde galite sekti visą laiko juostą.

„Microsoft“ mano, kad užpuolikai tada praleido laiką ruošdami ir platindami specialius „Cobalt Strike“ implantus ir valdymo bei valdymo infrastruktūra, ir „tikroji praktinė klaviatūros veikla greičiausiai prasidėjo jau gegužės mėnesį“.

„SolarWinds“ pašalinus užrakto funkciją, užpuolikai nereikalavo prieigos prie lauko durų per pardavėją, kad galėtų tiesiogiai pasiekti aukos tinklus. Užpakalinės durų pašalinimas iš kūrimo aplinkos buvo žingsnis užmaskuojant bet kokią kenkėjišką veiklą.

Susijęs: „Microsoft“ atskleidžia faktinį „SolarWinds“ kibernetinio užpuolimo tikslą

„Microsoft“ atskleidžia faktinį „SolarWinds“ kibernetinio užpuolimo tikslą

Patekimas į aukos tinklą nebuvo vienintelis išpuolio tikslas.

Iš ten užpuolikas dėjo daug pastangų, kad išvengtų aptikimo ir atitolintų kiekvieną atakos dalį. Dalis priežasčių buvo ta, kad net jei buvo atrastas ir pašalintas kenkėjiškos programos „Cobalt Strike“ implantas, „SolarWinds“ užpakalinė duris vis tiek buvo galima pasiekti.

Apsaugos nuo aptikimo procesas:

  • Kiekvienoje mašinoje įdėkite unikalius „Cobalt Strike“ implantus
  • Prieš pradėdami šoninį tinklo judėjimą, visada išjunkite mašinų saugos paslaugas
  • Nuvalykite žurnalus ir laiko žymes, kad ištrintumėte pėdsakus, ir netgi išjunkite registravimą tam tikram laikotarpiui, kad atliktumėte užduotį prieš vėl ją įjungdami.
  • Visų failų ir aplankų pavadinimų suderinimas padės užmaskuoti kenksmingus paketus aukos sistemoje
  • Specialių užkardos taisyklių naudojimas norint ištrinti siunčiamus paketus kenksmingiems procesams, tada baigus taisykles pašalinama

„Microsoft Security“ tinklaraštyje daug išsamiau nagrinėjamos įvairios technikos, įdomiame skyriuje apžvelgiami kai kurie iš tikrųjų nauji antidetektiniai metodai, kuriuos naudojo užpuolikai.

„SolarWinds“ yra vienas įmantriausių kada nors matytų įsilaužėlių

„Microsoft“ atsakymo ir saugumo komandose nėra abejonių, kad „SolarWinds“ yra viena pažangiausių visų laikų atakų.

Sudėtingos atakos grandinės ir užsitęsusios operacijos derinys reiškia, kad gynybiniai sprendimai turi būti visapusiški tarpdomenų matomumas užpuolikų veikloje ir pateikiama daugybę mėnesių istorinių duomenų su galingais medžioklės įrankiais, kad būtų galima ištirti tolesnį laiką kiek reikia.

Aukų taip pat gali būti daugiau. Neseniai pranešėme, kad antivirusinės programos specialistai „Malwarebytes“ taip pat buvo nukreipti į kibernetinę ataką, nors užpuolikai, norėdami patekti į jo tinklą, naudojo kitą įėjimo būdą.

Susijęs: „Malwarebytes“ - naujausia „SolarWinds“ kibernetinės atakos auka

Atsižvelgiant į apimtį tarp pirminio suvokimo, kad įvyko toks milžiniškas kibernetinis užpuolimas, ir taikinių bei aukų diapazono, dar galėtų būti daugiau pagrindinių technologijų bendrovių, kurios galėtų žengti pirmyn.

„Microsoft“ išleido keletą pataisų, skirtų sumažinti „SolarWinds“ ir susijusių kenkėjiškų programų riziką 2021 m. Sausio antradienis. Pataisos, kurios jau buvo paskelbtos, sumažina nulinės dienos pažeidžiamumą, kuris, „Microsoft“ manymu, yra susijęs su „SolarWinds“ kibernetiniu puolimu ir buvo aktyviai naudojamas laukinėje gamtoje.

El
Kas yra „Hack“ tiekimo grandinėje ir kaip jūs galite būti saugūs?

Negalite prasiveržti pro lauko duris? Užuot puolę tiekimo grandinės tinklą. Štai kaip veikia šie įsilaužimai.

Susijusios temos
  • Saugumas
  • „Tech News“
  • „Microsoft“
  • Kenkėjiška programa
  • Galinės durys
Apie autorių
Gavinas Phillipsas (Paskelbta 709 straipsniai)

Gavinas yra „Windows“ ir „Technology Explained“ jaunesnysis redaktorius, nuolatinis „Really Useful Podcast“ bendradarbis. Jis buvo „MakeUseOf“ į šifravimą orientuotos sesers svetainės „Blocks Decoded“ redaktorius. Jis turi šiuolaikinio BA („Hons“) rašymą su skaitmeninio meno praktikomis, apiplėštomis nuo Devono kalvų, taip pat daugiau nei dešimtmetį profesionalios rašymo patirties. Jis mėgaujasi gausiu kiekiu arbatos, stalo žaidimų ir futbolo.

Daugiau iš Gavino Phillipso

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kuriame rasite techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Dar vienas žingsnis…!

Prašome patvirtinti savo el. Pašto adresą el. Laiške, kurį jums ką tik išsiuntėme.

.