Microsoft selgitas hiljuti põhjalikumalt, kuidas toimus SolarWindsi küberrünnak, kirjeldades üksikasjalikult rünnaku teist etappi ja kasutatavaid pahavara tüüpe.
Rünnaku jaoks, kus on nii palju kõrgetasemelisi sihtmärke kui SolarWinds, on endiselt palju vastuseid vajavaid küsimusi. Microsofti raport paljastab hulga uut teavet rünnaku kohta, mis hõlmas ajavahemikku pärast seda, kui ründajad viskasid Sunbursti tagaukse alla.
Microsofti üksikasjad SolarWindsi küberrünnaku teine etapp
The Microsofti turvalisus ajaveebis antakse ülevaade "Puuduvast lülist", ajavahemikust, mil Sunbursti tagauks (viidatud kui Solorigate by Microsoft) installiti SolarWindsi mitmesuguste pahavara tüüpide implanteerimiseks ohvrile võrgud.
Nagu me juba teame, on SolarWinds üks "kümnendi kõige keerukamaid ja pikaajalisemaid sissetungi rünnakuid" ning et ründajad "on osavad kampaaniaoperaatorid, kes planeerisid ja viisid rünnaku hoolikalt ellu, püsides samas raskesti tabatavad püsivus. "
Microsofti turvalisuse ajaveeb kinnitab, et algne Sunbursti tagauks koostati 2020. aasta veebruaris ja levitati märtsis. Seejärel eemaldasid ründajad Sunbursti tagaukse SolarWindsi ehituskeskkonnast 2020. aasta juunis. Järgmisel pildil saate jälgida kogu ajaskaalat.
Microsoft usub, et ründajad veetsid seejärel aega kohandatud ja ainulaadsete Cobalt Strike implantaatide ettevalmistamiseks ja levitamiseks ning juhtimise ja juhtimise infrastruktuur ning "tegelik käed-klaviatuuril tegevus algas tõenäoliselt juba mais".
Tagaukse funktsiooni eemaldamine teenuselt SolarWinds tähendab, et ründajad olid müüja kaudu tagauksele juurdepääsu nõudmisest üle läinud ohvri võrkudele. Tagaukse eemaldamine ehituskeskkonnast oli samm pahatahtliku tegevuse varjamise suunas.
Seotud: Microsoft paljastas SolarWindsi küberrünnaku tegeliku eesmärgi
Ohvri võrku sattumine polnud rünnaku ainus eesmärk.
Sealt edasi ründaja nägi palju vaeva, et vältida avastamist ja rünnaku iga osa kaugust. Osa selle taga peituvatest põhjendustest oli see, et isegi kui pahavara implantaat Cobalt Strike avastati ja eemaldati, oli SolarWindsi tagauks siiski juurdepääsetav.
Avastamisvastane protsess hõlmas järgmist:
- Paigaldades igale masinale ainulaadsed Cobalt Strike implantaadid
- Enne võrgu külgsuunalise liikumise jätkamist keelake alati masinate turvateenused
- Logide ja ajatemplite pühkimine jalajälgede kustutamiseks ja isegi niipalju kui logimise keelamine teatud aja jooksul enne ülesande uuesti sisselülitamist.
- Kõigi faili- ja kaustanimede sobitamine aitab ohvri süsteemis pahatahtlikke pakette varjata
- Spetsiaalsete tulemüürireeglite kasutamine pahatahtlike protsesside jaoks väljuvate pakettide segamiseks, seejärel eemaldage reeglid, kui olete lõpetanud
Microsofti turvalisuse ajaveeb uurib tehnikaid palju üksikasjalikumalt ja pakub huvitavat jaotist, milles käsitletakse mõnda ründajate tõeliselt uudset avastamisvastast meetodit.
SolarWinds on üks kõige keerukamaid häkke, mida kunagi nähtud
Microsofti reageerimis- ja turvameeskondade peas pole kahtlust, et SolarWinds on üks kõige arenenumaid rünnakuid üldse.
Keerulise rünnakuahela ja veniva operatsiooni kombinatsioon tähendab, et kaitselahendused peavad olema terviklikud domeenidevahelise nähtavuse ründajate tegevuses ja pakkuge kuude kaupa ajaloolisi andmeid koos võimsate jahipidamisvahenditega, et uurida neid tagasi vastavalt vajadusele.
Ka ohvreid võiks tulla rohkem. Hiljuti teatasime, et küberrünnakus olid sihtmärgiks ka pahavaratõrje spetsialistid Malwarebytes, ehkki ründajad kasutasid selle võrgule juurdepääsu saamiseks teist sisenemismeetodit.
Seotud: Malwarebytes uusim SolarWindsi küberrünnaku ohver
Arvestades ulatust esialgse tõdemuse, et nii tohutu küberrünnak oli toimunud, ning sihtmärkide ja ohvrite vahemiku vahel, võiks olla veel rohkem suuri tehnoloogiaettevõtteid, kes saaksid edasi astuda.
Microsoft andis välja rea plaastreid, mille eesmärk on vähendada SolarWindsi ja sellega seotud pahavara tüüpide riski Jaanuar 2021 plaastri teisipäev. Paigad, mis on juba avaldatud, leevendavad nullipäeva haavatavust, mis Microsofti arvates on seotud SolarWindsi küberrünnakuga ja mida looduses aktiivselt ekspluateeriti.
Kas ei saa välisuksest sisse murda? Selle asemel rünnake tarneahelavõrku. Nende häkkide toimimine on järgmine.
- Turvalisus
- Tehnikauudised
- Microsoft
- Pahavara
- Tagauks
Gavin on Windowsi ja Technology Explained nooremtoimetaja, Really Useful Podcasti regulaarne kaasautor ja oli MakeUseOfi krüptokeskse sõsarsaite Blocks Decoded toimetaja. Tal on Devoni mägedelt rüüstatud BA (Hons) kaasaegne kirjutamine digitaalsete kunstipraktikatega ning üle kümne aasta pikkune professionaalne kirjutamiskogemus. Ta naudib rikkalikult teed, lauamänge ja jalgpalli.
Telli meie uudiskiri
Liituge meie uudiskirjaga, kus leiate tehnilisi näpunäiteid, ülevaateid, tasuta e-raamatuid ja eksklusiivseid pakkumisi!
Veel üks samm !!!
Palun kinnitage oma e-posti aadress meilis, mille me just saatsime.
