Microsoft selitti äskettäin perusteellisemmin, kuinka SolarWinds-kyberhyökkäys tapahtui, yksityiskohtaisesti hyökkäyksen toisesta vaiheesta ja käytetyistä haittaohjelmatyypeistä.
Hyökkäyksessä, jossa on yhtä monta korkean profiilin kohdetta kuin SolarWinds, on vielä monia kysymyksiä, joihin on vastattava. Microsoftin raportti paljastaa joukon uutta tietoa hyökkäyksestä, joka kattaa ajanjakson, jonka jälkeen hyökkääjät pudottivat Sunburst-takaoven.
Microsoft Details SolarWinds-kyberhyökkäyksen toinen vaihe
Microsoftin tietoturva blogi tarjoaa katsauksen "puuttuvaan linkkiin", ajanjaksoon, jolloin Sunburstin takaovi (kutsutaan nimellä Solorigate by Microsoft) asennettiin SolarWindsiin erilaisiin haittaohjelmatyyppeihin istuttamiseksi uhrin sisällä verkoissa.
Kuten jo tiedämme, SolarWinds on yksi "vuosikymmenen kehittyneimmistä ja pitkittyneimmistä hyökkäyshyökkäyksistä" ja että hyökkääjät "ovat ammattitaitoisia kampanjaoperaattoreita, jotka suunnittelivat ja toteuttivat hyökkäyksen huolellisesti pysyessään vaikeana säilyttäen sitkeys."
Microsoft Security -blogi vahvistaa, että alkuperäinen Sunburst-takaovi koottiin helmikuussa 2020 ja jaettiin maaliskuussa. Sitten hyökkääjät poistivat Sunburst-takaoven SolarWinds-rakennusympäristöstä kesäkuussa 2020. Voit seurata koko aikajanaa seuraavassa kuvassa.
Microsoft uskoo hyökkääjien käyttäneen aikaa mukautettujen ja ainutlaatuisten Cobalt Strike -implanttien valmisteluun ja jakeluun ja komento- ja hallinta-infrastruktuuri, ja "todellinen käytännön näppäimistön toiminta alkoi todennäköisesti jo toukokuussa".
Takaoven toiminnon poistaminen SolarWindsista tarkoittaa, että hyökkääjät olivat siirtyneet vaatimasta takaoven pääsyä myyjän kautta suoraan pääsyyn uhrin verkkoon. Takaoven poistaminen rakennusympäristöstä oli askel kohti kaiken haitallisen toiminnan naamiointia.
Liittyvät: Microsoft paljastaa SolarWinds-kyberhyökkäyksen todellisen kohteen
Hyökkäyksen ainoa tavoite ei ollut päästä uhrin verkkoon.
Sieltä hyökkääjä piti suurta vaivaa välttääkseen tunnistuksen ja etäisyyden hyökkäyksen jokaiselle osalle. Osa tämän taustalla oli, että vaikka Cobalt Strike -haittaohjelman implantti löydettiin ja poistettiin, SolarWinds-takaovelle oli silti pääsy.
Tunnistamisen estoprosessi:
- Yksittäisten Cobalt Strike -implanttien asentaminen jokaiseen koneeseen
- Poista aina koneiden turvallisuuspalvelut käytöstä, ennen kuin jatkat sivuttaista verkon liikkumista
- Lokien ja aikaleimojen pyyhkiminen jalanjälkien poistamiseksi ja jopa niin pitkälle, että kirjaaminen poistetaan käytöstä tietyn ajanjakson ajan tehtävän suorittamiseksi ennen sen käynnistämistä uudelleen.
- Kaikkien tiedostonimien ja kansionimien vastaavuus auttaa peittämään vahingollisia paketteja uhrin järjestelmässä
- Erityisten palomuurisääntöjen käyttäminen lähtevien pakettien hämärtämiseksi haitallisille prosesseille ja sääntöjen poistaminen, kun olet valmis
Microsoftin tietoturvablogi tutkii tekniikoita paljon yksityiskohtaisemmin, ja mielenkiintoisessa osassa tarkastellaan joitain hyökkääjien käyttämiä todella uusia havaitsemisen torjuntamenetelmiä.
SolarWinds on yksi edistyneimmistä hakkereista
Microsoftin vastaus- ja tietoturvaryhmien mielessä ei ole epäilystäkään siitä, että SolarWinds on yksi edistyneimmistä hyökkäyksistä koskaan.
Monimutkaisen hyökkäysketjun ja pitkittyneen toiminnan yhdistelmä tarkoittaa, että puolustava ratkaisu on oltava kattava verkkotunnusten välinen näkyvyys hyökkääjän toimintaan ja tarjoa kuukausien historiatietoja tehokkailla metsästystyökaluilla tutkittavaksi jo taaksepäin tarvittaessa.
Myös uhreja saattaa vielä olla enemmän. Olemme äskettäin raportoineet, että haittaohjelmien torjunnan asiantuntijat Malwarebytes kohdennettiin myös kyberhyökkäykseen, vaikka hyökkääjät käyttivät eri tapaa päästä verkkoonsa.
Liittyvät: Malwarebytes Viimeisin SolarWinds-kyberhyökkäyksen uhri
Kun otetaan huomioon alkuperäisen oivalluksen siitä, että tällainen valtava kyberhyökkäys oli tapahtunut, sekä kohteiden ja uhrien joukon välillä, suuria teknologiayrityksiä voisi vielä olla enemmän eteenpäin.
Microsoft julkaisi sarjan korjaustiedostoja, joiden tarkoituksena oli vähentää SolarWindsin ja siihen liittyvien haittaohjelmatyyppien riskiä Tammikuu 2021 Patch tiistai. Jo päivitetyt korjaustiedostot lieventävät nollapäivän haavoittuvuutta, jonka Microsoft uskoo linkittävän SolarWinds-kyberhyökkäykseen ja joita oli aktiivisesti hyödynnetty luonnossa.
Etkö voi murtautua etuovesta? Hyökkää sen sijaan toimitusketjun verkkoon. Näin nämä hakkeroinnit toimivat.
- Turvallisuus
- Tech News
- Microsoft
- Haittaohjelma
- Takaovi
Gavin on Windows and Technology Explained -ohjelman nuorempi toimittaja, säännöllinen avustaja todella hyödyllisessä podcastissa, ja hän oli MakeUseOfin salakeskeisen sisarussivuston, Blocks Decoded, toimittaja. Hänellä on BA (Hons) nykykirjoittaminen digitaalisilla taidekäytännöillä, jotka on ryöstetty Devonin kukkuloilta, sekä yli vuosikymmenen ammattitaitoinen kirjoituskokemus. Hän nauttii runsaasta määrästä teetä, lautapelejä ja jalkapalloa.
Tilaa uutiskirjeemme
Liity uutiskirjeeseemme, jossa on teknisiä vinkkejä, arvosteluja, ilmaisia e-kirjoja ja erikoistarjouksia!
Vielä yksi askel !!!
Vahvista sähköpostiosoitteesi juuri lähettämässäsi sähköpostiviestissä.
