微軟周三發(fā)布了另一份報(bào)告,詳細(xì)說明了對(duì)IT管理解決方案公司SolarWinds進(jìn)行攻擊的威脅參與者的活動(dòng)和方法��,包括其惡意軟件傳遞方法�,反取證行為和操作安全性(OPSEC)。
某些人認(rèn)為是俄羅斯贊助的攻擊者��,在2019年破壞了SolarWinds的系統(tǒng)�,并使用一種名為Sundrop的惡意軟件在Sun公司的Orion產(chǎn)品中插入了被追蹤為Sunburst的后門。Sunburst已交付給成千上萬(wàn)的組織����,但是使攻擊者產(chǎn)生興趣的幾百名受害者收到了其他幾款惡意軟件,其許多系統(tǒng)都使用了手動(dòng)鍵盤技術(shù)而受到威脅��。
在這些受害者的情況下��,黑客使用了名為Teardrop和Raindrop的裝載機(jī)來運(yùn)送Cobalt Strike有效載荷�����。
微軟在最新的SolarWinds攻擊報(bào)告中(作為Solorigate進(jìn)行了跟蹤)���,解釋了攻擊者如何從Sunburst惡意軟件轉(zhuǎn)移到Cobalt Strike加載程序���,以及他們?nèi)绾问菇M件盡可能地分開以避免被檢測(cè)到�����。
微軟說:“我們從Microsoft 365 Defender數(shù)據(jù)的狩獵練習(xí)中發(fā)現(xiàn)的信息進(jìn)一步證實(shí)了攻擊者的高水平技能以及為避免發(fā)現(xiàn)而進(jìn)行的詳盡計(jì)劃��!
持續(xù)更新:您需要了解有關(guān)SolarWinds攻擊的所有信息
微軟強(qiáng)調(diào)了黑客使用的一些更有趣的OPSEC和反取證方法�。一種技術(shù)涉及確保每臺(tái)受感染的計(jì)算機(jī)具有唯一的指示符,例如不同的Cobalt Strike DLL植入���,文件夾和文件名���,C&C域和IP,HTTP請(qǐng)求��,文件元數(shù)據(jù)和啟動(dòng)的進(jìn)程����。
微軟指出:“為每臺(tái)受感染的計(jì)算機(jī)應(yīng)用這種級(jí)別的排列是一項(xiàng)令人難以置信的努力,通常是其他對(duì)手所看不到的����,并且可以防止完全識(shí)別網(wǎng)絡(luò)中的所有受感染資產(chǎn)或在受害者之間有效共享威脅情報(bào)�����!
攻擊者還重命名了他們的工具,并將其放置在文件夾中��,以使其看起來盡可能合法�����。Microsoft列出的其他操作和活動(dòng)包括以下內(nèi)容:
在進(jìn)行密集且持續(xù)的動(dòng)手鍵盤活動(dòng)之前��,攻擊者需要使用AUDITPOL禁用事件日志記錄����,然后再重新啟用它。
以類似的方式���,在運(yùn)行嘈雜的網(wǎng)絡(luò)枚舉活動(dòng)(例如重復(fù)的NSLOOKUP或LDAP查詢)之前�����,攻擊者精心準(zhǔn)備了特殊的防火墻規(guī)則�����,以最大程度地減少某些協(xié)議的傳出數(shù)據(jù)包�����。在完成網(wǎng)絡(luò)偵察之后��,還有條不紊地刪除了防火墻規(guī)則����。
未經(jīng)準(zhǔn)備��,就永遠(yuǎn)不會(huì)進(jìn)行橫向運(yùn)動(dòng)��。為了增加其活動(dòng)未被檢測(cè)到的可能性���,攻擊者首先枚舉了在目標(biāo)主機(jī)上運(yùn)行的遠(yuǎn)程進(jìn)程和服務(wù)�����,并決定僅在禁用某些安全服務(wù)之后才橫向移動(dòng)���。
我們相信,攻擊者使用時(shí)間戳記來更改工件的時(shí)間戳記,并且還利用專業(yè)的擦除程序和工具來復(fù)雜化從受影響環(huán)境中查找和恢復(fù)DLL植入物的過程����。
雖然在MITER ATT&CK框架中已經(jīng)記錄了攻擊者利用的許多戰(zhàn)術(shù),技術(shù)和程序(TTP)���,但微軟表示正在與MITER合作���,以確保將在這些攻擊中觀察到的新技術(shù)也添加到該框架中。
網(wǎng)絡(luò)安全公司和研究人員繼續(xù)分析SolarWinds黑客的活動(dòng)�。FireEye本周發(fā)布了一份白皮書,詳細(xì)介紹了SolarWinds黑客針對(duì)Microsoft 365環(huán)境使用的TTP�。
網(wǎng)絡(luò)安全公司Malwarebytes本周透露,SolarWinds黑客也將其作為目標(biāo)-不是通過SolarWinds軟件���,而是通過濫用具有對(duì)Microsoft 365和Azure環(huán)境的特權(quán)訪問的應(yīng)用程序�����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
