Microsoft 詳述了 SolarWinds 事件的駭客,如何透過OpSec 和反鑑識技巧的最佳實踐,以避免被發現和檢測。

Posted on by blogadmin

微軟今天分享了有關SolarWinds駭客,如何透過將其惡意活動隱藏在受攻擊公司的網路內而不被發現的相關詳細資訊。

微軟安全分析師的研究表明,SolarWinds的背後駭客至少經過兩週的精心選定目標,並內置獨特的Cobalt Strike網路滲透工具,對每一個受害者系統的進行一個月左右的攻擊。

微軟的報告分享了有關Solorigate(又名Sunburst)第二階段啟動的新細節-在植入Solorigate(Sunburst)的DLL後門之後,部署並植入自定義Cobalt Strike loader(Teardrop,Raindrop等)的步驟和工具。

微軟並重點介紹了SolarWinds供應鏈的背後駭客逃避策略:

*透過為每台電腦上部署不同的客製化Cobalt Strike DLL植入程式,以有條不紊地避免每個受感染主機的IOC被分享而攔阻

*透過重新命名工具和二進位檔案偽裝並融入環境,以避免受感染的設備上的檔案和應用程式被透過特徵比對偵測。,

*在使用鍵盤操作之前透過AUDITPOL停用事件日誌記錄,事後再啟用

*在開始進行網路活動之前, 會為某些通訊協定建立防火牆規則, 以減少對外的連線封包 (在完成工作後即被移除)

*首先在目標主機上禁用安全服務,再仔細計劃橫向移動

* 同時也被認為使用時間管理程式來更改物件的時間戳記,並利用移除程式和工具來避免在受影響的環境中被惡意程式偵測機制發現。

供應鏈攻擊時程

Solorigate持續攻擊的時程

                                                       

這些攻擊的詳細時間顯示,Solorigate (Sunburst) DLL後門已於2月部署,並在3月下旬部署在受感染的網路中。在此階段之後,威脅行動者選擇了感興趣的目標並準備了將植入的特製 Cobalt Strike,直到5月初開始動手攻擊。

“ 6月時,SolarWinds就從二進製檔案中刪除了後門生成功能並發佈並發修補程式,這指出攻擊者已經蒐集到足夠數量的目標,其目標從部署和啟動後門(階段1)轉移到操作已被選定的受害者網路,然後再通過鍵盤操作繼續植入Cobalt Strike,進行攻擊(階段2)。”

深入了解Solorigate(Sunburst)第二階段活動:從SUNBURST到TEARDROP和Raindrop的情資:

https://otx.alienvault.com/pulse/60088b53da5e673bc2825ce8

Source: 

https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/

資安廠商Malwarebytes遭駭,幕後黑手同為入侵SolarWinds供應鏈的駭客組織,Malwarebytes稱它們並沒使用SolarWinds產品,另在SolarWinds供應鏈攻擊中發現第四種新的惡意軟體Raindrop的出現!

Posted on by blogadmin

Key Points:

*Malwarebytes揭露遭攻擊SolarWinds供應鏈的同一駭客組織入侵

*Malwarebytes表示入侵與SolarWinds供應鏈無關,因為該其公司內網未使用任何SolarWinds軟體。

*SolarWinds供應鏈事件中發現了第四種惡意軟體變種Raindrop

*目前僅有四件 Raindrop 樣本,專家發現它跟另一款惡意軟體Teardrop 分工

反惡意軟體資安廠商Malwarebytes在其周二的blog文章中,證實遭SolarWinds供應鏈攻擊的駭客組織入侵,入侵不是通過SolarWinds的IT軟體發生的,相反,攻擊者利用了其公司Office 365和Microsoft Azure的帳戶作為切入點。

駭客通過Microsoft的Azure Active Directory入侵,公司可用於確保員工訪問公司 IT 系統。在12月15日(即SolarWinds駭客事件公開後的第二天),Microsoft告訴Malwarebytes,它注意到了來自Malwarebytes的Office 365系統內第三方應用程式的可疑活動並利用了Malwarebytes安裝在Office 365租戶中的一個休眠的電子郵件保護產品。

Malwarebytes表示“在特定的情況下,威脅參與者將帶有憑證的自簽名證書添加到服務主體帳戶。從那裡,他們可以使用密鑰進行身份驗證並進行呼叫API,以透過MSGraph(Microsoft Graph)請求電子郵件。

Malwarebytes聯合創始人兼CEO, Marcin Kleczynski今天說: “經過全面廣泛的調查,我們確定攻擊者僅能訪問公司內部電子郵件的一部分。我們的內部系統沒有任何證據表明在任何就地部署和生產環境中都有未經授權的存取或損害,且我們的軟體仍然可以安全使用。"

另外,在SolarWinds供應鏈攻擊中,Symantec資安人員發現第四種新的惡意體Raindrop,並表示Raindrop與Teardrop惡意軟體類似,在很少數的入侵攻擊中被用作第二階段payload,目前為止僅發現了4個樣本。研究人員已將Raindrop認定為用於滲透後(post-compromise)活動的攻擊工具。根據賽門鐵克分析師的說法,這是一種後門安裝了Cobalt Strike,以幫助攻擊者更有效地通過受害者網路橫向移動攻擊。Raindrop似乎已被用來在受害者的網路中傳播。目前賽門鐵克尚未發現Sunburst直接分發Raindrop的證據。取而代之的是,它出現在已被Sunburst破壞的電腦網路上。

雖然Raindrop與Teardrop類似,但是Symantec表示他們使用不同的 packers,並且Cobalt Strike配置有所不同。在一個Raindrop的實例中,Cobalt Strike被配置為使用SMB命名管道作為通信協議,而不是HTTPS,這使專家們認為,受損的設備無法直接存取網路,迫使攻擊者透過網路上的另一台電腦路由 C&C 連線。在目前Symantec僅發現有四件 Raindrop 樣本,並相信Raindrop 跟Teardrop 分工合作散佈Cobalt Strike。

Raindrop受害者的時間線

有關Raindrop的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/6007149a5ff246c7c18229c1

中國的APT駭客組織Winnti針對俄羅斯和香港的公司發動了一系列的攻擊,發現台灣某研發線上遊戲公司的代碼簽名憑證被駭客組織濫用,利用一個未被記錄的後門程式”FunnySwitch”來攻擊香港的公司

Posted on by blogadmin

資安人員披露了來自中國的APT駭客組織Winnti的一系列攻擊,攻擊者利用惡意軟體,包括一個未被記錄的後門程式”FunnySwitch”。Positive Technologies資安公司發現,第一次攻擊可追溯到2020年5月12日,當時Winnti使用LNK shortcuts提取並運行操作惡意軟體payload。5月30日檢測到的第二次攻擊使用了一個惡意RAR存檔檔案,該檔案由指向兩個誘餌的PDF文檔shortcuts組成,這些文檔據稱是履歷和雅思證書(IELTS certificate)。

Shortcuts本身包含指向Zeplin(是設計師和前端開發人員之間的協作溝通工具)託管的頁面的連結,駭客用於獲取最終階段的惡意軟體,該惡意軟體反過來又包含shellcode loader(svchast.exe)和稱為Crosswalk的後門程式(3t54dE3r.tmp)。

Crosswalk後門於2017年首次被FireEye記錄,是一個陽春型模組化後門,能執行系統偵察,並接收來自攻擊者控制伺服器的其他模組。

這種作案手法與韓國APT組織Higaisa相似,Higaisa被發現利用電子郵件中附加的LNK檔於2020年對毫無戒備的受害者發動襲擊,但研究人員表示,使用Crosswalk後門,表明Winnti參與其中。因樣本的網路基礎結構與以前已知的 Winnti基礎結構重疊,其中一些domains可追溯到 2013 年 Winnti 對線上遊戲業者的攻擊。

在新一波的攻擊中,值得注意的是其中的目標包括Battlestate Games,一個俄羅斯聖彼德堡(St. Petersburg)Unity3D遊戲研發商。此外,研究人員還發現了更多的攻擊樣本,以RAR檔的形式,包含Cobalt Strike信標作為payload,駭客在一個案例中使用了美國黑人George Floyd逝世有關的抗議作為誘餌。

在另一個例子中,台灣某研發線上遊戲公司的代碼簽名憑證被濫用,駭客利用Crosswalk後門和Metasploit工具,以及 ShadowPad、Paranoid PlugX和名為FunnySwitch新的.NET後門攻擊香港的公司。

某台灣研發線上遊戲公司的網站

      

某台灣研發線上遊戲公司的憑證

據相信,後門程式仍在開發中,能夠收集系統資訊並運行任意的JScript程式碼。它還與Crosswalk後門分享了許多共同功能,使研究人員相信它們是由相同的Winnti開發人員編寫的。

此前,Paranoid PlugX 與 2017 年對遊戲行業公司的攻擊有關,通過 Winnti 的網路基礎結構部署惡意軟體增加了兩組之間的關係。研究人員總結說,從該組織的攻擊中可以看到Winnti擁有大量惡意軟體。Winnti 使用廣泛可用的工具(Metasploit、Cobalt Strike、PlugX)和客製化開發的工具,這些工具的數量不斷增加。到 2020 年 5 月,該組織開始使用其新的後門 Funny Switch,它具有不尋常的訊息中繼功能,另外Winnti繼續在俄羅斯和其他地方追擊遊戲開發商也是不爭的事實。

ShadowPad和PlugX的基礎結構

有關Winnti的APT駭客組織情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f62318a419e133716eca72d 

https://otx.alienvault.com/pulse/5f7b4e23628671de975542ed

https://otx.alienvault.com/pulse/5f64c60b933db16a4f43dffb     

Source: https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/higaisa-or-winnti-apt-41-backdoors-old-and-new/

美國國安局(National Security Agency) 公布最新DNS指南,建議僅使用“指定的”DNS解析器,並提供有關DNS over HTTPS的安全部署準則

Posted on by blogadmin
NSA企業建議建立具有DoH的DNS結構的示意圖

美國國家安全局建議將企業網路的DNS流量(無論是否經過加密)僅發送到指定的企業DNS解析,避免使用第三方DNS解析器,來阻止威脅行為者對DNS流量竊聽和竄改,並阻止對內部網路數據的存取。

DNS over HTTPS(DoH)是一個以HTTPS加密解析網域名稱的協定,NSA表示如果未在企業中正確部署加密的DNS技術,即DNS over HTTPS,則攻擊者可能會濫用它。最安全的方法是僅使用公司自己指定的企業DNS伺服器進行加密或未加密的DNS流量。

NSA補充說,如果企業 DNS 解析器不支援 DoH,則仍應使用企業 DNS 解析器,並且應禁用和阻止所有加密 DNS,直到加密 DNS 功能能夠完全整合到企業 DNS 基礎結構中。NSA還建議在管理員禁用其網路上的DoH,也要阻止“已知的DoH解析器上IP地址和網域”,防止客戶端嘗試使用自己的DoH解析器而不是使用DHCP分配的DNS解析器。

NSA的指南還提供了有關DoH用途以及正確配置DoH以增強企業DNS的安全性的控制。

更多有關NSA指南的內容,請至以下連結:

https://media.defense.gov/2021/Jan/14/2002564889/-1/-1/0/CSI_ADOPTING_ENCRYPTED_DNS_U_OO_102904_21.PDF

SolarWinds供應鏈攻擊的後遺症,駭客設網站高調出售來自Microsoft,Cisco, FireEye和SolarWinds的原始碼。

Posted on by blogadmin
solarleaks網站

駭客建立了一個全新的網站solarleaks.net,公開出售在SolarWinds供應鏈攻擊中竊取得來的原始碼。網站所有者聲稱他們是入侵SolarWinds的駭客組織,並正在拍賣從Microsoft,Cisco,SolarWinds和FireEye竊取到的原始碼,眾所周知,所有這些公司都在供應鏈攻擊中遭到入侵。據了解SolarLeaks網站所有者在模仿Shadow Brokers的方式,聲稱將分批出售盜來的數據,並將在以後發布更多資料。

Solarleaks.net網域名只有1天的歷史,在2021年1月11日註冊,並使用瑞典的隱私託管服務商Njalla來註冊。Njalla是APT駭客組織Fancy Bear和Cozy Bear的首選註冊商。僅此一項就已經表明,該網站背後的人們至少對俄羅斯作案手法(Modus operandi)是有所了解的。當然,這也可能是一個騙局(Scam)。

目前尚不清楚Solarleaks網站販售的數據的真實性,但相信由於Infosec的目光都在看著這事件的發展,值得我們持續關注。

目前Solarleaks網站以60萬美元的價格出售Microsoft原始碼和存儲庫,以50萬美元價格出售Cicso原始碼和內部的bugtracker dump, 以50萬美元價格出售Fireye的紅隊工具原始碼,和以25萬美元的價格出售SolarWinds原始碼和客戶的portal dump。

該網站說,只要花費100萬美元,就可以獲得所有洩露的數據!

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

https://otx.alienvault.com/pulse/5ffc7929fdeee95e277473b7

https://otx.alienvault.com/pulse/5ffccc003adfeeafe1d401a8

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

美國聯邦調查局(FBI)發布了對私人企業的通知,警告Egregor勒索軟體積極瞄準私人企業進行攻擊。

Posted on by blogadmin

2021年1月7日-FBI敦促所有私人企業警惕Egregor勒索軟體背後駭客組織的潛在惡意活動。FBI的最新警報說,自9月該組織成立以來,Egregor已在全球入侵了150間企業。已知的受害者名單包括   Cencosud,  Crytek,  KmartUbisoftBarnes and Noble和大溫哥華運輸公司TransLink等。

美國情報與安全服務局(US intelligence and security service)說:“由於部署Egregor勒索軟體涉及的駭客眾多,因此部署Egregor時所採用的戰術、技術和流程(TTP可能會截然不同,給防禦和緩解帶來了重大挑戰。”

“ Egregor勒索軟體利用多種機制來破壞企業網路,包括針對與企業網路或設備共享存取權限的企業網路和員工個人帳戶。” 一旦獲得對目標網路的存取權限,駭客便會使用Cobalt Strike,Qakbot / Qbot,Advanced IP Scanner和AdFind來提升特權並橫向移動,使用Rclone和7zip等工具來竊取數據。

FBI官員表示:“一旦受害公司的網路遭到破壞,Egregor的背後駭客就會竊取數據並加密網路上的檔案。” “勒索軟體在電腦上留下勒索信,指示受害者通過線上聊天與駭客進行通信。”FBI補充說:“Egregor經常利用受害者的印表機來列印勒索信。” “如果受害者拒絕付款,Egregor會將受害者數據發佈到公共站點上。”

FBI還分享了一系列建議的緩解措施,這些措施應有助於抵禦Egregor的攻擊:

*離線備份重要數據。

*確保關鍵數據的副本位於雲中或外部硬碟或存儲設備上。

*保護您的備份,並確保無法從數據所在的系統存取該數據以進行修改或刪除。

*在所有主機上安裝並定期更新防病毒或防惡意軟體。

*僅使用安全網路,避免使用公共Wi-Fi網路。

*使用雙因素認證,請勿點擊電子郵件中未經請求的附件或連結。

*優先修補面向公眾的遠端訪問產品和應用程式的修補,包括最近的RDP漏洞(CVE-2020-0609,CVE-2020-0610,CVE-2020-16896,CVE-2019-1489,CVE-2019-1225,CVE-2019 -1224,CVE-2019-1108)。

*查看可疑的.bat和.dll檔案,具有偵察數據的檔案(例如.log檔案)和滲透工具。

*使用多因素驗證或強密碼,通過限制訪問來安全地配置RDP。

有關Egregor勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fc94a8028a7e6be7487aea3

https://otx.alienvault.com/pulse/5fbed263fa9e196c722eff7a

https://otx.alienvault.com/pulse/5fa1b75f7136524dbbb229a6

*****竣盟科技快報歡迎轉載,但請註明出處

美國聯邦調查局(FBI),美國網路安全和基礎設施安全局(CISA),國家情報總監辦公室(ODNI)和國家安全局(NSA)發布聯合聲明,美國政府將SolarWinds的供應鏈攻擊正式歸咎於俄羅斯。

Posted on by blogadmin

包括FBI,CISA,ODNI和NSA在內,這四個機構都是網路統一協調小組(Cyber Unified Coordination Group)的成員,該小組是由白宮國家安全委員會成立的聯合工作組,負責調查和處理SolarWinds攻擊的後果。今天(1月5日)發表了一份聯合聲明,正式指控俄羅斯政府策劃了SolarWinds供應鏈攻擊。聯合聲明將此次攻擊描述為“起源可能是俄羅斯”和“情報蒐集”。

據國外媒體報導,聯合聲明半證實了上個月《華盛頓郵報》的一份報導,該報導將SolarWinds供應鏈攻擊與歸咎於APT29, APT29是俄羅斯外國情報服務(Russian Foreign Intelligence Service)相關駭客的代號。

網路統一協調小組說:“國家級駭客組織可能來自俄羅斯,是危害政府網路和非政府網路的大部分或全部原因。” 該聲明還正式將SolarWinds背後駭客活動描述為“情報蒐集”。我們正在採取一切必要步驟來了解這項活動的全部範圍,並做出相應的回應。”

UCG在FBI,CISA,ODNI和NSA的聯合聲明中還補充說,在最初的入侵事件發生後, 只有10個美國政府機構受到其他駭客活動的攻擊。

聲明說:“ UCG相信,使用Solar Winds Orion產品的大約18,000名受影響的公共和私營部門客戶中,只很少一部分受到其系統後續活動的損害。”

“到目前為止,我們在少於十個美國政府機構的網路上發現了惡意軟體活動,正在努力識別並通知也可能受到影響的非政府實體。” 並強調網路攻擊活動仍然持續,警告駭客對美國構成的威脅尚未結束,UCG補充說:“這是一個嚴重的入侵,需要持續不懈的補救。”

上個月《華盛頓郵報》報導後不久,俄羅斯官員對報導的發現提出了質疑。今俄羅斯官員尚未正式回應今天的FBI-CISA-ODNI-NSA聯合聲明。

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

大溫哥華交通運輸公司TransLink警告,駭客在網路攻擊中非法存取了員工的銀行個人資訊,敦促員工使用信用卡監控服務!

Posted on by blogadmin

加拿大的大溫哥華公共交通TransLink的員工被告知,在12月初的網路攻擊中駭客存取了個人銀行資訊和其他檔案,建議員工使用信用卡監控服務。TransLink於2020年12月1日宣布遭網路攻擊後,交通網路的電腦系統出現問題。IT技術問題影響了公司的電話和線上服務,以及客戶用信用卡或預付卡付款的功能。但TransLink的運輸服務不受勒索軟體攻擊引起的IT問題所影響。

事件發生後,TransLink在一份聲明中透露: “我們現在可以確認TransLink的某些IT基礎設施已經成為勒索軟體的攻擊目標 。”“此攻擊包括通過印表機與TransLink通信。” 在攻擊期間,從印表機印出的勒索信,辨識到為Egregor勒索軟體。

由《Global News》在上週三獲得並看到TransLink的內部電子郵件中,告訴員工攻擊者“已存取並可能已從受限制的網路磁碟機複製了檔案”,

所存取的磁碟機包含TransLink,Coast Mountain Bus Company(CMBC)和大溫哥華交通警察的員工薪資資訊。電子郵件說:“那些受限制的網路磁碟機包括含有銀行資訊和一些社會保險號的檔案。”

Global News的記者Jordan Armstrong在推特上關於TransLink最新進展的推文:

截至目前,在Egregor勒索軟體攻擊之後,大多數TransLink的系統仍處於關閉狀態,包括實時GPS數據,追踪(tracking)和報告(reporting)系統,其公司技術人員仍正在努力盡快恢復它們。

TransLink建議想要追踪公車時程的客戶“暫時”使用Google trip planner,直到追踪系統重新上線。

另外,儘管有證據顯示駭客在攻擊過程中存取了它們的磁碟機,但TransLink表示目前仍在確定受影響的員工數目以及攻擊者打開或複制的檔案。TransLink還敦促所有員工盡快註冊為所有員工免費提供的兩年信用卡監控。

關於Egregor的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fc94a8028a7e6be7487aea3

https://otx.alienvault.com/pulse/5fbed263fa9e196c722eff7a

日本川崎重工在內部稽核時,發現遭未經授權第三方存取日本的伺服器,駭客的入侵很可能針對川崎持有與日本國防相關的數據

Posted on by blogadmin

川崎重工株式會社Kawasaki Heavy Industries於12月28日宣布,由於未經授權從其海外基地存取了日本數據中心,一些資料可能已經外洩。

日本川崎重工的公告

今年6月,內部系統稽核時發現,泰國基地未經授權即可訪問日本伺服器。陸續也確認了從印尼,菲律賓和美國基地對日本伺服器未經授權的存取,並且發現數據從泰國基地外洩,因此川崎重工加強了對海外基地存取權限的監控和限制,以阻止未經授權的存取。川崎也切斷了站點之間的所有通信。在實施網路通信限制,並對日本和泰國網路上大約30,000個的終端進行安全審核。川崎證實,八月之後沒有與日本伺服器建立未經授權的連接,通信渠道於11月30日恢復。

另外,似乎有人非法獲取了內部系統的ID和密碼,但尚不知道可能洩露了多少數據。日本傳媒報導駭客入侵的可能是川崎重工持有與日本國防相關資料的細節,川崎重工為日本自衛隊生產飛機和潛艇,是日本軍工産業核心之一,並支援與盟國的一系列國防合同,例如在美國,與波音公司professional jets有緊密的合作關係,第三方外部人員對其發動了駭客攻擊可能致有關軍事機密外泄。

川崎重工表示:“對於給我們的客戶和其他相關方帶來的不便,我們深表歉意。”

*****竣盟科技快報歡迎轉載,但請註明出處.

美國家電製造巨頭惠而浦(Whirlpool) 遭 Nefilim勒索軟體入侵,數據被公開!

Posted on by blogadmin

惠而浦公司將以一種不愉快的方式結束2020年,這家市值數十億美元的電器製造商已成為臭名昭著的Nefilim勒索軟體的受害者。

自從Covid 19大流行初期以來,Nefilim一直很活躍,並因揚言在發出勒索信後一周內釋放受害者的數據而聲名狼藉。

雖然Nefilim對惠而浦的攻擊在聖誕節後第二天就曝光了,但據外媒報導最初的攻擊發生在12月的第一周。然而根據惠而浦的一份聲明,入侵可能發生在11月。聲明說:“上個月在我們的環境中發現了勒索軟體,該惡意軟體被檢測到並被迅速遏制。” Whirlpool確認了攻擊,並稱其系統已從攻擊中完全恢復。惠浦的聲明斷言,在公司繼續調查和實施補救措施的過程,沒有發現消費者數據受到影響,也沒有影響任何營運。

Nefilim與惠而浦的談判失敗後,洩漏了從該公司盜來的第一批數據,其中包括員工福利,住宿和醫療資料申請,背景調查等有關檔案。

洩漏數據並不是Nefilim背後駭客進行報復的唯一方式。駭客稱惠而浦的網路防禦能力不足,誇口說他們能第二次滲透到該公司的網路中。

十月份,Nefilim勒索軟體的背後駭客洩露了屬於意大利眼鏡和眼保健巨頭Luxottica的檔案。另外其他受害者包括法商電信巨擘Orange,德國最大的私人多服務提供商 Dussman Group和 Toll Group等。

有關Nefilim勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5eecd2be0dc1df57dba2a52c