Microsoft раскрыла второй этап процесса кибератаки SolarWinds
Microsoft недавно более подробно объяснила, как произошла кибератака SolarWinds, подробно описав вторую фазу атаки и типы используемых вредоносных программ.
Для атаки с таким большим количеством высокопоставленных целей, как SolarWinds, есть еще много вопросов, на которые нужно ответить. Отчет Microsoft раскрывает массу новой информации об атаке, охватывающей период после того, как злоумышленники использовали бэкдор Sunburst.
Microsoft подробно описывает вторую фазу кибератаки SolarWinds
В блоге Microsoft Security рассматривается «Недостающее звено» – период с момента установки бэкдора Sunburst (называемого Microsoft Solorigate) на SolarWinds до внедрения различных типов вредоносных программ в сети жертвы.
Как мы уже знаем, SolarWinds – одна из «самых сложных и длительных атак десятилетия», и что злоумышленники «являются квалифицированными операторами кампании, которые тщательно спланировали и осуществили атаку, оставаясь неуловимыми, сохраняя при этом настойчивость».
Блог Microsoft Security подтверждает, что исходный бэкдор Sunburst был скомпилирован в феврале 2020 года и распространен в марте. Затем злоумышленники удалили бэкдор Sunburst из среды сборки SolarWinds в июне 2020 года. Вы можете следить за полной временной шкалой на следующем изображении.
Microsoft считает, что злоумышленники затем потратили время на подготовку и распространение нестандартных и уникальных имплантатов Cobalt Strike и инфраструктуры управления, и «настоящая работа с клавиатурой, скорее всего, началась уже в мае».
Удаление функции бэкдора из SolarWinds означает, что злоумышленники перешли от требования доступа к бэкдору через поставщика к прямому доступу к сетям жертвы. Удаление бэкдора из среды сборки было шагом к сокрытию любой вредоносной активности.
Оттуда злоумышленник пошел на все, чтобы избежать обнаружения и дистанцироваться от каждой части атаки. Частично это объяснялось тем, что даже если имплант вредоносной программы Cobalt Strike был обнаружен и удален, бэкдор SolarWinds все еще был доступен.
Процесс защиты от обнаружения включал:
- Развертывание уникальных имплантатов Cobalt Strike на каждой машине
- Всегда отключайте службы безопасности на машинах перед продолжением бокового перемещения сети
- Очистка журналов и временных меток для удаления следов и даже отключение журналирования на период для выполнения задачи перед ее повторным включением.
- Сопоставление всех имен файлов и папок, чтобы помочь замаскировать вредоносные пакеты в системе жертвы
- Использование специальных правил брандмауэра для скрытия исходящих пакетов от вредоносных процессов, а затем удаление правил по завершении
Блог Microsoft Security исследует ряд методов гораздо более подробно, а в интересном разделе рассматриваются некоторые из действительно новых методов защиты от обнаружения, которые использовали злоумышленники.
SolarWinds – один из самых сложных хаков, которые когда-либо видели
В умах специалистов по реагированию и безопасности Microsoft практически нет сомнений в том, что SolarWinds – одна из самых совершенных атак в истории.
Сочетание сложной цепочки атак и длительной операции означает, что защитные решения должны иметь всестороннюю междоменную видимость деятельности злоумышленников и обеспечивать месяцы исторической информации с мощными инструментами поиска для расследования, насколько это необходимо.
Жертв тоже может быть больше. Недавно мы сообщили, что специалисты по защите от вредоносных программ Malwarebytes также стали объектом кибератаки, хотя злоумышленники использовали другой метод проникновения, чтобы получить доступ к его сети.
Учитывая размах между первоначальным осознанием того, что такая огромная кибератака произошла, и диапазоном целей и жертв, еще может быть больше крупных технологических компаний, которые могут сделать шаг вперед.
Microsoft выпустила серию исправлений, направленных на снижение риска SolarWinds и связанных с ним типов вредоносных программ, во вторник с исправлениями в январе 2021 года . Патчи, которые уже были запущены, смягчают уязвимость нулевого дня, которая, по мнению Microsoft, связана с кибератакой SolarWinds и которая активно эксплуатировалась в дикой природе.