Microsoft 詳述了 SolarWinds 事件的駭客,如何透過OpSec 和反鑑識技巧的最佳實踐,以避免被發現和檢測。

微軟今天分享了有關SolarWinds駭客,如何透過將其惡意活動隱藏在受攻擊公司的網路內而不被發現的相關詳細資訊。

微軟安全分析師的研究表明,SolarWinds的背後駭客至少經過兩週的精心選定目標,並內置獨特的Cobalt Strike網路滲透工具,對每一個受害者系統的進行一個月左右的攻擊。

微軟的報告分享了有關Solorigate(又名Sunburst)第二階段啟動的新細節-在植入Solorigate(Sunburst)的DLL後門之後,部署並植入自定義Cobalt Strike loader(Teardrop,Raindrop等)的步驟和工具。

微軟並重點介紹了SolarWinds供應鏈的背後駭客逃避策略:

*透過為每台電腦上部署不同的客製化Cobalt Strike DLL植入程式,以有條不紊地避免每個受感染主機的IOC被分享而攔阻

*透過重新命名工具和二進位檔案偽裝並融入環境,以避免受感染的設備上的檔案和應用程式被透過特徵比對偵測。,

*在使用鍵盤操作之前透過AUDITPOL停用事件日誌記錄,事後再啟用

*在開始進行網路活動之前, 會為某些通訊協定建立防火牆規則, 以減少對外的連線封包 (在完成工作後即被移除)

*首先在目標主機上禁用安全服務,再仔細計劃橫向移動

* 同時也被認為使用時間管理程式來更改物件的時間戳記,並利用移除程式和工具來避免在受影響的環境中被惡意程式偵測機制發現。

供應鏈攻擊時程

Solorigate持續攻擊的時程

                                                       

這些攻擊的詳細時間顯示,Solorigate (Sunburst) DLL後門已於2月部署,並在3月下旬部署在受感染的網路中。在此階段之後,威脅行動者選擇了感興趣的目標並準備了將植入的特製 Cobalt Strike,直到5月初開始動手攻擊。

“ 6月時,SolarWinds就從二進製檔案中刪除了後門生成功能並發佈並發修補程式,這指出攻擊者已經蒐集到足夠數量的目標,其目標從部署和啟動後門(階段1)轉移到操作已被選定的受害者網路,然後再通過鍵盤操作繼續植入Cobalt Strike,進行攻擊(階段2)。”

深入了解Solorigate(Sunburst)第二階段活動:從SUNBURST到TEARDROP和Raindrop的情資:

https://otx.alienvault.com/pulse/60088b53da5e673bc2825ce8

Source: 

https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/