Share This
Связаться со мной
Крути в низ
Categories
//Microsoft рассказала, как хакеры избежали обнаружения при атаке SolarWinds

Microsoft рассказала, как хакеры избежали обнаружения при атаке SolarWinds

21.01.2021Category : My Habr

Microsoft поделилась подробностями своего расследования относительно того, как хакерам при взломе систем SolarWinds удавалось оставаться незамеченными.

Отчет представили эксперты Microsoft 365 Defender, Microsoft Threat Intelligence Center (MSTIC) и Microsoft Cyber ​​Defense Operations Center (CDOC).

Новые подробности касаются второго этапа взлома Solorigate, когда хакеры предпринимали шаги для развертывания загрузчиков Cobalt Strike (Teardrop, Raindrop и другие) после удаления бэкдора DLL Solorigate (Sunburst).

Как выяснили эксперты, хакеры следовали лучшим методам обеспечения безопасности операций (OpSec), чтобы минимизировать следы и оставаться вне поля зрения.

Некоторые примеры тактики уклонения хакеров:

методическое устранение общих индикаторов для каждого скомпрометированного хоста путем развертывания пользовательских Cobalt Strike DLL на каждом компьютере,

маскировка путем переименования инструментов и двоичных файлов в соответствии с файлами и программами на взломанном устройстве,

отключение регистрации событий с помощью AUDITPOL перед практическими действиями с клавиатуры и включение обратно после них,

создание правил брандмауэра для минимизации исходящих пакетов для определенных протоколов перед запуском действий по перечислению сетей, которые потом удалялись,

отключение служб безопасности на целевых хостах, использование временных меток для изменения временных меток артефактов, а также процедур и инструментов очистки, чтобы препятствовать обнаружению вредоносных внедрений DLL в уязвимых средах.

Кроме того, Microsoft предоставляет список наиболее интересных и необычных тактик, приемов и процедур (TTP), используемых в этих атаках.

Компания также заявила, что «активно работает с MITER, чтобы убедиться, что любая новая техника, возникающая в результате этого инцидента, задокументирована в будущих обновлениях структуры ATT&CK».

Подробный график этих атак показывает, что бэкдор Solorigate DLL был развернут в феврале, а в скомпрометированных сетях — в конце марта.

microsoft rasskazala kak hakery izbezhali obnaruzhenija pri atake solarwinds ec47ae1 - Microsoft рассказала, как хакеры избежали обнаружения при атаке SolarWinds

После этого этапа злоумышленники подготовили внедрение Cobalt Strike и к началу мая выбрали цели.

microsoft rasskazala kak hakery izbezhali obnaruzhenija pri atake solarwinds 606ccbc - Microsoft рассказала, как хакеры избежали обнаружения при атаке SolarWinds

Удаление функции создания бэкдора и скомпрометированного кода из бинарных файлов SolarWinds в июне может указывать на то, что к этому времени злоумышленники поразили достаточное количество мишеней, и их интерес сместился с развертывания и активации бэкдора (этап 1) для работы в выбранных сетях-жертвах.

Ранее в Microsoft после аудита своей инфраструктуры Office 365 и Azure подтвердили факт получения хакерами доступа к внутренним сетевым и серверным ресурсам компании. В ходе взлома злоумышленники смогли просмотреть часть исходного кода некоторых продуктов.

Microsoft пострадала при атаке, в ходе которой хакеры получили доступ к сетям производителя программного обеспечения SolarWinds. Инцидент с получением вредоносного обновления данного ПО затронул компьютерные системы нескольких американских правительственных структур, а также тысячи компаний по всему миру.

  • 1 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    Roman Spiridonov
    Roman Spiridonov

    Привет ! Мне 38 лет, я работаю в области информационных технологий более 4 лет. Тут собрано самое интересное.

    Our Instagram 04.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close