Microsoft förklarade nyligen mer djupgående hur SolarWinds cyberattack ägde rum, med en beskrivning av den andra fasen av attacken och de typer av skadlig programvara som används.

För en attack med så många högt profilerade mål som SolarWinds finns det fortfarande många frågor som behöver besvaras. Microsofts rapport avslöjar en mängd ny information om attacken, som täcker perioden efter att angriparna tappade Sunburst-bakdörren.

Microsoft specificerar andra fasen av SolarWinds cyberattack

De Microsofts säkerhet blogg ger en titt på "Den saknade länken", perioden från och med Sunburst bakdörr (kallad Solorigate av Microsoft) installerades på SolarWinds för att implantera olika typer av skadlig kod inom offrets nätverk.

Som vi redan vet är SolarWinds en av de "mest sofistikerade och långvariga intrångsattackerna under decenniet", och att angripare "är skickliga kampanjoperatörer som noggrant planerat och genomfört attacken, förblir svårfångade samtidigt som de bibehåller uthållighet."

instagram viewer

Microsofts säkerhetsblogg bekräftar att den ursprungliga Sunburst-bakdörren sammanställdes i februari 2020 och distribuerades i mars. Därefter tog attackerna bort Sunburst-bakdörren från SolarWinds-byggmiljön i juni 2020. Du kan följa hela tidslinjen i följande bild.

Microsoft tror att angriparna sedan spenderade tid på att förbereda och distribuera anpassade och unika Cobalt Strike-implantat och infrastruktur för kommando-och-kontroll, och den "verkliga hands-on-keyboard-aktiviteten började troligen redan i maj."

Avlägsnandet av bakdörrfunktionen från SolarWinds innebär att angriparna hade gått från att kräva bakdörråtkomst via säljaren för direkt åtkomst till offrets nätverk. Att ta bort bakdörren från byggmiljön var ett steg mot att dölja skadlig aktivitet.

Relaterad: Microsoft avslöjar faktiskt mål för SolarWinds cyberattack

Microsoft avslöjar faktiskt mål för SolarWinds cyberattack

Att komma in i offrets nätverk var inte det enda målet för attacken.

Därifrån gick angriparen mycket långt för att undvika upptäckt och distansera varje del av attacken. En del av resonemanget bakom detta var att även om implantatet Cobalt Strike malware upptäcktes och togs bort, var SolarWinds-bakdörren fortfarande tillgänglig.

Antidetekteringsprocessen involverade:

  • Implementera unika Cobalt Strike-implantat på varje maskin
  • Inaktiverar alltid säkerhetstjänster på maskiner innan du fortsätter med nätverksrörelse i sidled
  • Torka av loggar och tidsstämplar för att radera fotavtryck och till och med gå så långt som att inaktivera loggning under en period för att slutföra en uppgift innan du slår på den igen.
  • Att matcha alla filnamn och mappnamn för att hjälpa till att kamouflera skadliga paket i offrets system
  • Använda särskilda brandväggsregler för att fördunkla utgående paket för skadliga processer och ta sedan bort reglerna när du är klar

Microsofts säkerhetsblogg utforskar utbudet av tekniker mycket mer detaljerat, med ett intressant avsnitt som tittar på några av de verkligt nya antidetekteringsmetoderna som angriparna använde.

SolarWinds är en av de mest sofistikerade hack som någonsin sett

Det finns lite tvivel hos Microsofts respons- och säkerhetsteam om att SolarWinds är en av de mest avancerade attackerna någonsin.

Kombinationen av en komplex attackkedja och en långvarig operation innebär att defensiva lösningar måste ha omfattande överblick över domänernas syn på angriparens aktivitet och ge månader av historisk data med kraftfulla jaktverktyg för att undersöka så långt tillbaka som nödvändigt.

Det kan fortfarande finnas fler offer också. Vi rapporterade nyligen att antimalware-specialister Malwarebytes också var inriktade på cyberattacken, även om angriparna använde en annan metod för att komma in för att få tillgång till sitt nätverk.

Relaterad: Malwarebytes senaste offer för SolarWinds cyberattack

Med tanke på omfattningen mellan den inledande insikten att en sådan enorm cyberattack hade ägt rum och utbudet av mål och offer, kan det fortfarande finnas fler stora teknikföretag att gå framåt.

Microsoft utfärdade en serie korrigeringar som syftade till att minska risken för SolarWinds och tillhörande malware-typer i dess Januari 2021 Patch tisdag. Plåstren, som redan har tagits i bruk, mildrar en noll-dagars sårbarhet som Microsoft tror länkar till SolarWinds cyberattack och var under aktiv exploatering i naturen.

E-post
Vad är en supply chain hack och hur kan du vara säker?

Kan du inte bryta igenom ytterdörren? Attackera leverantörskedjan i stället. Så här fungerar dessa hack.

Relaterade ämnen
  • säkerhet
  • Tekniska nyheter
  • Microsoft
  • Skadlig programvara
  • Bakdörr
Om författaren
Gavin Phillips (709 artiklar publicerade)

Gavin är Junior Editor för Windows och Technology Explained, en regelbunden bidragsgivare till den riktigt användbara podcasten, och var redaktör för MakeUseOfs kryptofokuserade systersida, Blocks Decoded. Han har en BA (Hons) samtida skrivning med digital konstutövning som plundrats från Devons kullar, samt över ett decennium av professionell skriverfarenhet. Han gillar stora mängder te, brädspel och fotboll.

Mer från Gavin Phillips

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!

Ett steg till…!

Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.

.