\r\n\r\n

マイクロソフト、solarwindsのサイバー攻撃の第2段階を公開

大規模なサイバー攻撃は本当に巧妙なのか...

マイクロソフトは最近、SolarWinds社のサイバー攻撃がどのように行われたかをより詳しく説明し、攻撃の第2段階と使用されたマルウェアの種類を詳述しています。

Sunburstのように有名な標的を持つ攻撃には、まだ多くの疑問が残っています。マイクロソフトの報告書では、攻撃者がSunburstバックドアを放棄した後の期間をカバーする、攻撃に関する様々な新情報が明らかにされています。

マイクロソフト、solarwindsのサイバー攻撃第2弾の詳細を発表

マイクロソフトのセキュリティブログでは、SolarWindsにインストールされたSunburstバックドア(マイクロソフトではSolorigateと呼ばれています)から被害者のネットワークに仕掛けられた様々な種類のマルウェアまで、「ミッシングリンク」の研究が紹介されています。

SolarWindsが "この10年間で最も巧妙で持続的な侵入攻撃の一つ "であり、攻撃者が "持続性を維持しながらも捉えどころのない攻撃を慎重に計画・実行する熟練のキャンペーンオペレーター "であることは既に知られていました。

Microsoft Security Blogでは、Sunburstバックドアの原型が2020年2月にコンパイルされ、3月に公開されたことを確認しています。その後、攻撃者は2020年6月にSolarWindsの構築環境からSunburstバックドアを削除しています。以下の画像で、全タイムラインを追うことができます。

マイクロソフトは、攻撃者はその後、カスタムでユニークなコバルトストライクインプラントとコマンドアンドコントロールインフラの準備と配布に時間を費やし、「実際のキーストローク・キャンペーンは、早ければ5月に始まったと思われる」と考えています。

SolarWindsからバックドア機能が削除されたことは、攻撃者がベンダーを介したバックドアアクセスを要求することから、被害者のネットワークへの直接アクセスに移行したことを意味します。ビルド環境からバックドアを削除することは、悪意のある活動を偽装するための一歩となります。

関連記事:マイクロソフト、サンウィンド社のサイバー攻撃の実際の標的を公開

そこから、攻撃者は全力で検知を避け、攻撃のあらゆる部分から距離を置くようになります。この背景には、マルウェア「Cobalt Combat」のインプラントが発見され削除されたとしても、「Sunwind」のバックドアにアクセス可能であることが一因として挙げられます。

反面教師には、以下のようなプロセスがあります。

  • 各機種に独自のコバルトパーカッションインプラントを配備
  • 横方向のネットワーク移動を続ける前に、必ずコンピュータのセキュリティサービスを無効化すること
  • ログやタイムスタンプを消去して回路図を消去したり、一定期間ログを無効にしてから再度開いてタスクを完了させることも可能です。
  • 被害者のシステム上のマルウェアパッケージを偽装するために、すべてのファイルとフォルダー名にマッチします。
  • 悪意のあるプロセスからの送信パケットを難読化するために特別なファイアウォールルールを使用し、終了したらルールを削除する

Microsoft Security Blogでは、攻撃者が使用する真に斬新なアンチディテクション手法に関する興味深いセクションを含め、さまざまなテクニックをより詳細に解説しています。

Solar Windは、これまでに作られた最も洗練されたハックの1つです

マイクロソフトの対応チームとセキュリティチームは、SolarWindsがこれまでで最も高度な攻撃の一つであることは間違いないと考えています。

複雑な攻撃チェーンと長期にわたる作戦の組み合わせは、防御ソリューション***が攻撃者の活動を包括的にクロスドメインで可視化し、必要なだけ過去にさかのぼって調査できる強力なハンティングツールとともに数カ月分の履歴データを提供する必要があることを意味します。

今後も被害者が出るかもしれない。先日、マルウェア対策専門会社であるマルウェアバイトもサイバー攻撃の標的になったことをお伝えしましたが、攻撃者は別の方法でネットワークに侵入していたのです。

関連記事:マルウェアバイトがサンウィンド社のサイバー攻撃の最新被害者に

このような巨大なものが発生したという最初の認識から、ターゲットや被害者に至るまでのサイバー攻撃の範囲を考えると、おそらくもっと大きなテクノロジー企業が前進しているはずです。

マイクロソフトは、2021年1月のパッチリリースにおいて、SolarWindsおよび関連マルウェアのリスクを低減することを目的とした一連のパッチを公開しました。これらのパッチはすでに公開されており、マイクロソフトがSolarWinds社のサイバー攻撃に関連し、野放し状態で活発に悪用されていると考えているゼロデイ脆弱性を緩和するものです。

あなたが興味を持っているかもしれない記事

匿名者
匿名者

0 件の投稿

作家リスト

  1. admin 0 投稿
  2. 匿名者 0 投稿

おすすめ